Ataque por fuerza bruta con ejemplo

Críticas acerca de productos de tecnología, ordenadores, móviles, táblets y mucho más

Ataque por fuerza bruta con ejemplo

Habiendo comprendido bien los diferentes tipos de ataques que se pueden realizar,
indagaremos en el ataque por fuerza bruta a Instagram. Éste consiste en la prueba de una cantidad muy
elevada de contraseñas hacia una cuenta de Instagram. El proceso se lleva a cabo
mediante un programa y un diccionario de contraseñas.
Éste ataque es de los más famosos entre los hackers ya que, la mayoría de los usuarios
suelen utilizar contraseñas muy sencillas relacionadas con su vida. En este apartado
aprenderemos cómo realizar un ataque por fuerza bruta a una cuenta de Instagram y cómo
evitar posibles ataques a nuestras cuentas (crearemos una cuenta nueva de Instagram para
realizarlo y no exponer los datos de ningún otro usuario ya que sería delito de atentado
contra la intimidad, contra el derecho a la inviolabilidad de la propia imagen y protección de
datos de carácter personal . )
Para ello hemos utilizado dos programas disponibles para la versión de Debian Kali Linux.
Uno de ellos para generar un diccionario de posibles contraseñas sobre el usuario víctima y
otro para realizar el propio ataque.

Generar diccionario de posibles contraseñas → CUPP

Ejecutar ataque sobre cuenta → INSTAINSANE

Cupp (generar contraseñas)

Cupp es un sencillo programa generador de palabra a partir de datos introducidos por el
usuario de kali.
Los estudios muestran que al configurar o crear una contraseña, los seres humanos
muestran un patrón similar, por ejemplo, tienden a personalizar la contraseña añadiendo su
fecha de nacimiento, fecha de aniversario, nombre de la mascota, etc y CUPP se centra en
esta debilidad y ayuda a crackear una contraseña de manera eficaz. Pero, para ello
deberíamos saber información de la víctima, por lo que, a la hora de saber quién ha
realizado un crackeo de nuestra contraseña, podríamos deducir que se trata de una
persona cercana a nosotros.
El programa irá haciendo preguntas sobre la víctima para luego poder generar contraseñas
a partir de los datos introducidos.

Paso 1:

Ejecutamos cupp.

ataque por fuerza bruta

Paso 2:

Introducimos los datos que nos indica cupp para poder crear el diccionario de datos.

Estos son los datos de una posible víctima, hemos introducido pocos de ellos lo cual nos ha generado 3697 posibles contraseñas, entre las cuales hemos elegido Obi_2019, el nombre de su perro y el año en el que lo tuvo.

También podemos encontrar otros programas de generación de contraseñas como puede ser crunch, cewl o pydictor. Todos ellos siguen la misma metodología de generación de palabras a partir de datos introducidos por el usuario.

ataque por fuerza bruta

Instainsane (ataque por fuerza bruta)

Ahora ejecutaremos el ataque sobre la cuenta de instagram de “Juan Fernandez”, con nombre de usuario jfa0008.

Primero ejecutaremos InstaInsane accediendo a la carpeta ~/Instainsane y ejecutando ./instainsane.sh.

En esta imagen se observa la cuenta de Instagram creada para realizar el ataque.

ataque por fuerza bruta

En la imagen podemos ver que se han probado las 3696 posibles contraseñas realizando el ataque por fuerza bruta, de las cuales se ha encontrado la que el usuario tenía, Obi_2019. A  su vez la contraseña se ha guardado en un archivo con extensión txt en la carpeta raíz del usuario con el nombre de juan.txt, donde, se guarda la contraseña encontrada.

También podemos pausar el ataque y guardarlo en un txt para poder continuar más tarde y en el archivo se guarda el número de contraseñas que se han probado.

Añadimos que este ataque se realiza a partir de la red TOR, la famosa llamada “red oscura”, por medio de la cual se envían multitud de solicitudes a la cuenta de Instagram para así no generar problema a  la hora de la obtención de la contraseña. Así como que cuando la víctima se conecte a Instagram le saldrá un mensaje de aviso de que su cuenta ha sido comprometida desde una ubicación que no es la nuestra, esto se produce debido a la VPN utilizada por la red TOR, totalmente aleatoria y muy difícil de localizar la posición geográfica real del atacante.

También existen gran multitud de programas como puede ser instashell.

Por último adjuntamos el artículo de la ley sobre datos personales.

Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales

Artículo 1. Objeto de la ley. La presente ley orgánica tiene por objeto:

  1. a) Adaptar el ordenamiento jurídico español al Reglamento (UE) 2016/679 del Parlamento Europeo y el Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de sus datos personales y a la libre circulación de estos datos, y completar sus disposiciones. El derecho fundamental de las personas físicas a la protección de datos personales, amparado por el artículo 18.4 de la Constitución, se ejercerá con arreglo a lo establecido en el Reglamento (UE) 2016/679 y en esta ley orgánica.
  2. b) Garantizar los derechos digitales de la ciudadanía conforme al mandato establecido en el artículo 18.4 de la Constitución.

 

No hay comentarios

Añade tu comentario